خاصية Storm Control لحماية الشبكة من هجمات Flood

الكاتب أيمن النعيمي

الثلاثاء, 22 يونيو 2010 16:53

Storm Control خاصية مفيدة وهامة لحماية الشبكات من هجمات Flood التى من الممكن أن تتعرض لها الشبكة من خلال هجوم حجب الخدمة يعرف بـ Denial of Service وفكرة الخاصية ببساطة هي مراقبة الترافيك الذي يدخل من خلال كل منفذ موجود عندنا على السويتش.

كيف تعمل خاصية Storm Control ؟

تقوم هذه الخاصية الموجودة في سويتشات سيسكو بمراقبة الترافيك الداخل إلى السويتش وأقصد بكلمة الترافيك الأنواع الثلاثة المعروفة وهي Unicast, Broadcast, Multicast وذلك من خلال تحديد نسبة مئوية معينة تقوم أنت بتحديدها وهذه النسبة تمثل حجم الترافيك الذي يمر في ثانية واحدة بحيث لوتجاوز هذا البورت الحد المسموح له (النسبة المئوية التى قمنا بتحديدها ) فسوف يقوم بعمل ردة فعل سوف نحددها نحن وسوف أتكلم عنه في مرحلة الأعداد كما تفيدنا هذه الخاصية في تحديد النسبة المئوية لكمية الباندويث الذي يعبر عن المنفذ لان في حال زيادة نسبة الـ unicast مثلا عن النسبة المسموح بها فسوف يقوم المنفذ بعمل Drop بشكل أوتماتيكي للترافيك ولن يسمح لها بالعبور إلا بعد أن يصل حجم الترافيك إلى نسبة مئوية نقوم نحن بأعداداها أيضا.

ملاحظة هامة: كل أنواع الـ Broadcast & Multicast ترافيك سوف يتم مراقبتها بأستثناء الترافيك الخاص بـ BPDU Frame and CDP حتى الترافيك الخاص بـ OSPF & EIGRP سوف يتم مراقبته والمقصود طبعا الـ Multicast الذي يتم بين الروترات.

كيف أعداد Storm Control ؟

كما أتفقنا في بداية المقال أن إعداد خاصيّة Storm Control يتم من خلال تفعيله على كل منفذ موجود على السويتش والخطوات هي كالتالي:

Switch# configure terminal
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# storm-control unicast level 87 65

في هذا المثال قمت بتحديد النسبة الاعلى rising suppression التى أريد أن أسمح بها لـ Unicast للعبور من خلال منفذ الجيجا أيثرنت بحيث لو تجاوز نسبة 87% فإن البورت سوف يبدأ بعمل Drop للباكيت حتى تصل إلى النسبة الصغرى falling suppression 65% في الثانية ولاحظ أيضا أني لم أقم بتحديد ردة فعل لان ردة الفعل الطبيعية هي فلترة الترافيك بحسب النسب الموضحة ولو أردت أن أضع ردة فعل سوف أزيد سطرا آخر إلى الأعدادات وهو:

Switch(config-if)# storm-control action shutdown | trap

لنشاهد مثال من نوع آخر:

Switch# configure terminal
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# storm-control broadcast level 20
Switch(config-if)# storm-control action shutdown | trap

في المثال الثاني قمت بتحديد نسبة الـ Broadcast المسموح له بـ 20% ولو في حال تم تجاوز هذا الحد فان البورت سوف يقوم بعمل ردة فعل وهي نوعين:

الأولى Shutdown وطبعا سوف تقوم الخاصية بأغلاق المنفذ بشكل أوتماتيكي.
الثانية Trap وهي لأرسال SNMP trap إلى الـ Agent للأعلام عن زيادة النسبة المسوح بها.

مع العلم لو أنني قمت بوضع النسبة 0 فهذا يعني أنني سوف أمنع الـ Broadcast بشكل كامل عن المنفذ ولو أخترت النسبة 100 فهذا يعني أنني لن أخضع الـ Broadcast للمراقبة وآخيرا نستخدم الإمر Show Storm-control لعرض حالة البورتات.

ملاحظة هامة: هذه الخاصية متوفرة في بعض الأنواع من سويتشات سيسكو والبعض منها يدعم الـ Broadcast فقط والبعض لايدعم خاصية النسبة العليا والدنيا يعني الأمكانيات تختلف بحسب الموديل.

كلمة أخيرة وهو رأيي الشخصي حول إستخدام هذه الخاصية والتى أراها مناسبة جداً لمنع عمل Flood للشبكة من خلال إرسال Broadcast لأنه من أكثر الأشياء التى سوف تضر بالشبكة.

عن الكاتب:

أيمن النعيمي, طالب تخصص شبكات أدرس في أوكرانيا وأطمح أن أكون متميزاً في هذا المجال. أركز على الجانب الأمني من الهاكر لاستغلاله في الحماية وتطبيق ما تعلمته.